Journal 40 failles 0-day découvertes dans Tizen

Posté par (page perso) . Licence CC by-sa
24
4
avr.
2017

Tizen est l'OS de Samsung qui équipe la plupart de ses téléviseurs connectés mais aussi ses smart-watchs, et certains modèles de téléphones vendus en Asie, en Russie etc…

Un chercheur Israelien l'a étudié et y a découvert près de 40 failles 0-day, mais aussi plein de mauvaises pratiques (pas de SSL pour les connections sensibles par exemple). Selon lui, "c'est le pire code qu'il ait eu à connaitre", et semble être écrit par un débutant.

La suite ici : https://motherboard.vice.com/en_us/article/samsung-tizen-operating-system-bugs-vulnerabilities

Je ne sais pas si c'est exagéré, mais c'est peut-être l'une des raisons du peu de succès de cet OS opensource en dehors des produits Samsung..

  • # Hé ben !

    Posté par . Évalué à 9. Dernière modification le 04/04/17 à 14:30.

    Moi qui attends Tizen depuis longtemps et avec l'espoir qu'il y ait enfin un OS réellement Open source (projet LIFO) qui puisse remplacer mon Maemo. Et bien ça met un coup de froid dans le dos, presque autant que ça :-D
    Enfin bon maintenant que ça a été mis en lumière le code va être corrigé (enfin j'espère).

    kentoc'h mervel eget bezan saotred

  • # TV Samsung

    Posté par (page perso) . Évalué à -2.

    En même temps à qui est-ce qu'il viendrait à l'esprit de brancher sa télé Samsung sur le net ? Il faudrait vraiment avoir une confiance aveugle dans le constructeur ET un besoin irrépressible de twitter et de regarder des vidéos Youtube depuis sa télé pour faire ça.
    La mienne n'a jamais été connectée, je branche une simple clé USB quand je veux regarder un mkv ou quand je veux mettre à jour le firmware avec une nouvelle version récupérée sur le site Samsung.

    • [^] # Re: TV Samsung

      Posté par . Évalué à 8.

      Et le replay, tu le ramènes aussi avec ta clé usb.

      • [^] # Re: TV Samsung

        Posté par (page perso) . Évalué à 1.

        Je n'utilise pas ça mais est-ce que ce n'est pas une fonction standard offerte par toutes les box internet ? Si c'est bien le cas pourquoi passer par l'OS de la télé pour avoir cette fonction ?

        • [^] # Re: TV Samsung

          Posté par . Évalué à 10.

          Tout le monde n'a pas forcement de box, surtout en dehors de France.
          C'est aussi utile si certain services ne sont pas disponible sur la box, ou si la télévision est loin de la box, donc pas connectable en HDMI, ou dans le cas de plusieurs télévisions.

        • [^] # Re: TV Samsung

          Posté par (page perso) . Évalué à 8.

          Pourquoi passer par une box pour faire ce que peut faire une SmartTV directement ? Une seule télécommande c'est plus simple (je sais le CEC existe)

          Chez moi je n'ai pas de box tv car aucune utilité, avec ma télécommande de tv je peux aller sur netflix(inclus dans la TV), elle pilote l'ampli, et même kodi sur mon media center.

          Des amis ont mis kodi directement sur la TV car c'est plus pratique pour eux, ils accèdent aux différents partages/nas directement depuis la TV.
          Bon, nous ce sont des TV Sony android mais c'est pareil.

          S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: TV Samsung

      Posté par . Évalué à 10.

      En même temps à qui est-ce qu'il viendrait à l'esprit de brancher sa télé Samsung sur le net ?

      À peu près n'importe qui dont les connaissances en informatique sont rudimentaires et qui veut juste que sa télé fasse ce que le vendeur lui a décrit.

      J'veux dire à la base c'est pas déconnant de vouloir regarder des vidéos depuis youtube ou autre service de streaming sur un grand écran à la maison.

    • [^] # Re: TV Samsung

      Posté par . Évalué à 10.

      Ça viendrait à l'idée de n'importe quelle personne qui ne connait ou ne comprend pas les risques. Je pense que pour beaucoup de gens "ce n'est qu'une télé, pas un ordinateur, il n'y a pas de risques". Et pour la confiance c'est pareil, le consommateur à une certaine confiance dans les marques. Si une marque a une bonne réputation, ne serait-ce que pour du matériel, la plupart des personnes lui feront confiance.

      Et les TV connectés offres beaucoup de services maintenant, de la VOD (Netflix, Amazon, Canal+ je crois aussi…) de la musique (Spotify par exemple) ou même des services de conférence comme Skype à une époque (mais je crois qu'ils ont arrêté). Les services en ligne sont une sources de plus importante, et c'est normal de vouloir ces services sur ca télévision, de manière simple.

      • [^] # Re: TV Samsung

        Posté par (page perso) . Évalué à 6.

        Je pense que pour beaucoup de gens "ce n'est qu'une télé, pas un ordinateur, il n'y a pas de risques".

        Ça fait quand même des années que le grand public est informé des risques du Net. Avec tous les articles et toutes les émissions télé sur les méchants pirates tu penses que les gens n'ont pas intégré le fait qu'il faut se méfier et qu'ils pensent toujours qu'il n'y a aucun risque ?

        Mon premier post était certes un peu tongue-in-cheek. Je peux comprendre l'utilité des fonctions d'une smart-TV mais bon quand on voit que même les lave-vaisselle ont maintenant des serveurs web intégrés et sont victimes de failles de sécu (http://seclists.org/fulldisclosure/2017/Mar/63) va falloir se poser la question du rapport coût-bénéfices de ces fonctions non ?

        • [^] # Re: TV Samsung

          Posté par . Évalué à 10.

          Ça fait quand même des années que le grand public est informé des risques du Net. Avec tous les articles et toutes les émissions télé sur les méchants pirates tu penses que les gens n'ont pas intégré le fait qu'il faut se méfier et qu'ils pensent toujours qu'il n'y a aucun risque ?

          Les gens n'ont toujours pas vraiment compris qu'il ne fallait pas exécuter n'importe quoi n'importe comment sur leur PC, alors tu penses bien que sur les téléphones, les télés, les lave vaisselles ou les tondeuses, on est encore loin de la prise de conscience.

          Mon premier post était certes un peu tongue-in-cheek. Je peux comprendre l'utilité des fonctions d'une smart-TV mais bon quand on voit que même les lave-vaisselle ont maintenant des serveurs web intégrés et sont victimes de failles de sécu (http://seclists.org/fulldisclosure/2017/Mar/63) va falloir se poser la question du rapport coût-bénéfices de ces fonctions non ?

          Tout le monde dit dans la secu dans le milieu de l'IOT que cela ne pourra venir que des régulateurs. Les gens te regardent comme un alien quand tu en parles, les constructeurs se tirent la bourre à qui aura le meilleur time to market pour un prix toujours plus faible. Tu penses bien que le security by design et un semblant de MCO/MCS n'est absolument pas dans leur priorité.
          T'as qu'à regarder tous les trucs qu'a fait Matthew Garrett sur les loupiottes bluetooth, c'est assez symptomatique.

          Ca me dépasse mais c'est un fait :'(

        • [^] # Re: TV Samsung

          Posté par . Évalué à 7.

          Avec tous les articles et toutes les émissions télé sur les méchants pirates tu penses que les gens n'ont pas intégré le fait qu'il faut se méfier et qu'ils pensent toujours qu'il n'y a aucun risque ?

          Oui, ou qu'ils sous-estiment ces risques.
          Il y a déjà cette idée qu'une télé (ou n'importe quel objet connecté en fait) n'a aucun intérêt à être piratée, comme on entendait il y a quelques années le même discours sur les PC. Sur les PC ce discours à l'air d'avoir disparu surtout avec la place plus importante que le pc/smartphone prend dans nos vies et l'augmentation du nombre de données perso qu'ils contiennent.

          Je pense même qu'il y a une partie du grand public, peut-etre petite mais pas insignifiante non plus, qui ne se rend pas directement compte que la tv est connecté à Internet avec tous les risques que ça amène, pour eux c'est juste une tv qui va sur Youtube et Netflix…

          Et même chez des gens un peu au courant, la confiance envers les grands constructeurs est grande. J'ai déjà entendu des discours du genre "c'est Samsung, ils font aussi de l’électronique depuis longtemps et des smartphones, ils doivent bien s'occuper de la sécurité"

        • [^] # Re: TV Samsung

          Posté par (page perso) . Évalué à 10.

          Ça fait quand même des années que le grand public est informé des risques du Net

          que tu crois. s/grand public/geek.

          Le grand public il ne sais toujours pas faire de différence entre navigateur et internet. Ou pire, entre facebook et internet.

          Le grand public il prend peur quand un site lui balance une popup de merde qui lui dit qu'il vient d'analyser son ordinateur (ah ah ah) et qui lui dit qu'il est totalement vérolé et donc qu'il faut qu'il appelle en urgence le numero 0800 xxxxx pour qu'on lui installe vite vite vite un nouvel antivirus. (histoire véridique, j'ai eu plusieurs cas récemment).

          Le grand public continue à cliquer sur les pièces jointes provenant de sources inconnues, et donc continue à se choper des merdes comme des Ransomwares.

          Alors le grand public, déjà que sur un ordinateur, il sait pas grand chose, alors un ordinateur camouflé en télévision…

          Attention, je me moque pas du grand public hein. On ne peut pas tout connaître. C'est normal. J'ai beau être développeur depuis 25-30 ans, la mécanique, j'y connais pas grand chose, et je me suis déjà fait avoir par un garagiste voyou.

          L'informatique, c'est pareil, quand on ne connait pas, on peut se faire avoir. Et puis c'est compliqué. Surtout quand on veut que ce soit aussi simple que programmer une machine à laver le linge.

          Le gros souci, ce sont les informaticiens, parce que 80% des développeurs savent à peine à quoi sert SSL, comment éviter un buffer overflow etc… Et quand ils savent, c'est les c****rds au dessus d'eux qui n'en ont rien à foutre, faut optimiser, optimiser, optimiser… les investissements bien sûr et donc pas le temps de faire correctement. La sécurité on s'en fout, ça coute trop cher, et tant pis pour ces gros nullos de clients.

          Ou alors c'est comme l'exemple de la machine à laver. Les mecs, ils font du lave-vaisselles depuis 50 ans. Sûr qu'ils connaissent le fonctionnement d'un lave-vaisselle, ils savent même faire des lave-vaisselles qui durent 25 ans (ouai bon, sauf que ce serait pas rentable, pas fou les mecs hein, ils vont juste faire des lave-vaisselles qui durent 10 ans).

          Et puis un jour un imbécile heureux chez eux a dit : les machins connectés, c'est super, faisons du bidule connecté. Sauf que les mecs, ils y connaissent rien en informatique, en sécurité, en internet. Alors ils bricolent, embauchent 3 développeurs qui ont déjà fait un tetris en basic, (ou alors font appel à un prestataire, mais c'est pareil, il embauche que des newbies parce que ça coûte pas cher, et puis comme ça, malgré que la grosse boiboite de lave-vaisselle archi connue payent super cher parce que l'IOT c'est super hype, ils feront une mega-marge).

          Bref, au final, on a des produits de merdes.

          Et bientôt, on va avoir que des bagnoles connectées de merde, aspirant toutes vos données personnelles, les constructeurs (et d'autres) vous traquant comme des porcs, ou vous spoliant l'usage de votre véhicule que vous aurez payés avec un rein (en la bloquant à distance), parce que vous n'aurez pas respecté la date de la dernière révision. Et bien sûr, tous ces nouveaux trucs connectés ne seront pas dépourvu de failles, de bugs et de tous les problèmes propres aux bidules connectés (je dis pas ça parce que c'est Microsoft, parce qu'au final, ils vont tous s'y mettre..).

          Pu**n, vivement la retraite en fin fond du Finistère. Ça devient n'importe quoi ces usages du net… (Qu'est ce qu'on était bien, seuls entre geeks, en 1994, sur le réseau…)

          • [^] # Re: TV Samsung

            Posté par (page perso) . Évalué à 9.

            Bref, au final, on a des produits de merdes.

            Un exemple rigolo datant d'hier : Une caméra/godémiché vibrant qui fait aussi point d'accès wifi et peut se connecter à Skype.
            Avec une sécurité lamentable au point que les méchants peuvent géolocaliser ces godémichés et capturer le flux vidéo : https://www.pentestpartners.com/blog/vulnerable-wi-fi-dildo-camera-endoscope-yes-really/

          • [^] # Re: TV Samsung

            Posté par (page perso) . Évalué à 4. Dernière modification le 05/04/17 à 08:13.

            Ca partait pas trop mal dans l'analyse, mais à un moment c'est parti en vrille, genre :

            ils savent même faire des lave-vaisselles qui durent 25 ans (ouai bon, sauf que ce serait pas rentable, pas fou les mecs hein, ils vont juste faire des lave-vaisselles qui durent 10 ans).

            tu as oublié une truc : c'est normal (pour l'acheteur, économiquement) de vouloir un lave-vaisselle qui dure 10 ans si celui-ci coûte 10x moins cher que celui qui dure 25 ans.
            Balancer cet exemple sans parler coût détruit l'idée d'objectivité que tu aurais, ça part dans le populisme facile "on nous arnaque".
            Note que je ne suis pas contre les lave-vaisselles qui durent 25 ans, mais le problème n'est pas chez les constructeurs, juste chez le peuple (qui ne passe pas de lois mettant tout le monde à égalité à devoir prendre en compte la récupération et le recyclage), bref tu attaques la mauvaise cible.

            Pour le reste, je ne désespère pas autant que toi, ces dernières année on a vu plus de contrôles de restaurant pour l’hygiène (équivalent SSL en restaurant), les gens sont plus sensibilisés et demandent de l’hygiène, et ça met juste un peut plus de temps pour l'informatique le temps que les procès arrivent (et ça arrive déjà pas mal, les boites doivent payer, donc à un moment ça va devenir plus rentable d'embaucher que de payer les pénalités).
            Bref, ça viendra.

            Note que tu parles des gens lambda, mais les personnes "plus sensibilisées" (genre des informaticiens / admin sys) disent aussi on n'a pas le temps donc on garde la distro Linux plus maintenue, le problème de la sécurité n'est pas que l'utilisateur lambda, il est aussi les informaticiens / admin sys même compétents qu'il faut sensibiliser tout autant sur le fait que ça n'attend pas.

            Ça devient n'importe quoi ces usages du net…

            Ou alors ça devient justement bien, avec plein de choses différentes pour rendre service à plus que les quelques personnes qui étaient bien seules sur le réseau en 1994. Le fait qu'il y ai des problème n'enlève pas que l'évolution est super.

        • [^] # Re: TV Samsung

          Posté par . Évalué à 8.

          Ça fait quand même des années que le grand public est informé des risques du Net. Avec tous les articles et toutes les émissions télé sur les méchants pirates tu penses que les gens n'ont pas intégré le fait qu'il faut se méfier et qu'ils pensent toujours qu'il n'y a aucun risque ?

          Oui.

          Désolé, oui, je pense qu'ils ne se méfient toujours pas, simplement parce que c'est trop compliqué, et quand c'est trop compliqué, on a tendance à débrancher le cerveau, simplement.

          Le vendeur lui a dit "non non aucun problème", alors "non non aucun problème", parce que le vendeur est un "expert", et donc il "sait".

          De même qu'à une époque les vendeurs vendaient que le Pentium IV permet d'accélérer Internet (et oui, je connais des gens pas trop cons mais absolument convaincus qu'Internet allait plus vite avec le PIV, et toi d'abord tu te crois plus intelligent qu'Intel?!).

          Ou encore devrais-je prendre l'exemple de la démonstration de la prise de contrôle du vote électronique en vidéo, où le responsable côté gouvernement a expliqué que "non non, il n'y a rien à voir, aucun logiciel malveillant ne peut quoi que ce soit" en commentant la preuve que c'était possible? Et bien bingo: tu peux argumenter autant que tu veux, lui il sait, mieux que toi, et puis si c'était si dangereux, "ils" ne laisseraient pas ça arriver.

          Alors les failles, on "sait" que les grands constructeurs ne les laisseraient pas, trop dangereux pour leur image de marque.

        • [^] # Re: TV Samsung

          Posté par (page perso) . Évalué à 4.

          va falloir se poser la question du rapport coût-bénéfices de ces fonctions non ?

          La question a été posée. Mais personne n'a pu répondre parce qu'on était en train de tellement se gaver que s'aurait été mal poli de parler.

          Le gars de la sécu et son équipe, on les a virés parce que les mails du boss étaient sur Internet. Depuis on se gave encore plus.

    • [^] # Re: TV Samsung

      Posté par . Évalué à 5.

      Le firmware peut aussi être mis à jour via l'antenne, même sur les TV de base (pas SmartTV).
      Donc, on est bien obligé d'avoir une confiance aveugle dans le constructeur.

      Et il semble qu'on peut faire bien plus qu'une simple mise à jour ( https://www.bleepingcomputer.com/news/security/about-90-percent-of-smart-tvs-vulnerable-to-remote-hacking-via-rogue-tv-signals/ ).

    • [^] # Re: TV Samsung

      Posté par . Évalué à 2.

      J'ai un lecteur-enregistreur TNT HD qui propose aussi Netflix et Youtube, et c'est bien pratique.

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: TV Samsung

      Posté par . Évalué à 6.

      En même temps à qui est-ce qu'il viendrait à l'esprit de brancher sa télé Samsung sur le net ?

      Bah moi, même si je ne me connecte au net que pour les mise à jours… sinon le réseau c’est utile car c’est plus rapide pour voir une vidéo mise sur mon NAS dlna, plutôt que de copier Carte Mémoire --> NAS --> Clé USB (<3 ou ≤2). Dès qu’on tape des fichiers de 4Go, c’est plus lent que sur mon réseau en Gbs.

      C’est pratique aussi pour l’abonnement netflix.

      • [^] # Re: TV Samsung

        Posté par . Évalué à 0.

        Tout pareil (TV samsung qui me sert a accéder aux videos sur mon NAS).

        Pis le hacker qui passera le NAT de ma box + le NAT de mon Cisco sous DD-WRT, et qui veux prendre la main sur ma télé (pour faire quoi d'abord, y poser un bot en sommeil ? ), bah ce hacker, je pense qu'il prendra aussi la main sur le windaube de ma femme, le nas sous debian, mon laptop sous ubuntu et la main sur les tablette et téléphones android chez moi. Dans ce cas, ma télé, c'est le moindre de mes soucis….

        Les seuls qui devraient s'inquiéter c'est les exposant avec ces modèles connectés , pas madame michu qui regarde netflix…

        • [^] # Re: TV Samsung

          Posté par . Évalué à 4.

          Suivant ce que tu fais avec ta télé (genre utiliser le navigateur intégré par exemple), ça peut être une porte d'entrée pour justement infiltrer tout ton réseau domestique malgré ton fameux NAT. C'est pas tellement ce qu'il va advenir de ta télé le problème, c'est plutôt les conséquences que ça peut avoir sur le net tout entier (si ta télé devient membre d'un botnet), la réputation de ton ip (si ta télé devient un spambot), sur les données de ton NAS (hello ransomware !) et effectivement tes pc.

          Et si ce n'est pas toi qui visite le mauvais site, ça peut être ta femme, tes enfants, ton chien (ouais enfin peut-être pas lui finalement).

          Bref c'est pas parce qu'un device est "caché" derrière un NAT que ça ne sert à rien de se préoccuper de sa sécurité. La surface d'attaque est moins grande mais elle existe si tu l'utilises.

          Après effectivement si la seule fonctionnalité que tu utilises est le DLNA à l'intérieur de ton réseau te qu'elle n'est jamais utilisée pour accéder à l'extérieur c'est effectivement peu critique.

    • [^] # Re: TV Samsung

      Posté par . Évalué à 10.

      En même temps à qui est-ce qu'il viendrait à l'esprit de brancher sa télé Samsung sur le net ?

      [mode_chacun_voit_midi_à_sa_porte]

      En même temps à qui est-ce qu'il viendrait à l'esprit d'avoir une télé ?

      [/mode_chacun_voit_midi_à_sa_porte]

      kentoc'h mervel eget bezan saotred

      • [^] # Re: TV Samsung

        Posté par . Évalué à -1.

        Il y a aussi probablement beaucoup de gens qui veulent un grand écran pour faire du netflix ou du youtube mais qui pensent être obligés d'acheter une télévision pour ça.

        • [^] # Re: TV Samsung

          Posté par (page perso) . Évalué à 8.

          T'as des exemples de moniteurs de taille comparable aux TV et à un prix abordable ?

    • [^] # Re: TV Samsung

      Posté par . Évalué à 7.

      C'est comme dire "à qui est-ce qu'il viendrait à l'esprit de brancher sa tablette Samsung sur le net ?". Les usages ont évolué, ma mère regarde Netflix sur sa télé et mon fils regarde ses docs animaliers (et des dessins animés aussi, faut pas déconner non mais !) sur l'appli Youtube de la télé.

      En fait chez moi la télé ne sert quasiment jamais à regarder la télé …

      • [^] # Re: TV Samsung

        Posté par . Évalué à -5.

        En fait chez moi la télé ne sert quasiment jamais à regarder la télé …

        Ah ton fils et ta maman n'écoutent que le son de netflix ou des docs animaliers ?

        • [^] # Re: TV Samsung

          Posté par . Évalué à 4.

          Drôle. Je corrige : "à regarder la diffusion en direct des chaînes de télévision"

          • [^] # Re: TV Samsung

            Posté par (page perso) . Évalué à 1.

            en direct

            En direct ?! C'est trop 2010 ça.

            • [^] # Re: TV Samsung

              Posté par . Évalué à 4.

              C'est précisément ce que dit mon commentaire … Personne le fait. Les usages ont changé.

              • [^] # Re: TV Samsung

                Posté par (page perso) . Évalué à 0.

                Oui enfin tu t'emballes un peu. J'imagine que 80 % des gens regardent principalement la télévision à l'ancienne.

                • [^] # Re: TV Samsung

                  Posté par . Évalué à 4.

                  Z'êtes lourds là. Faut que j'explique chaque mot de ma phrase initiale ? J'ai dit chez moi !

                  En fait chez moi la télé ne sert quasiment jamais à regarder la télé …

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.